Verzija: 2.0
Opseg: Crypto, sigurnost memorije, dostupnost, otkrivanje informacija, sigurna obrada grešaka.
Sveobuhvatna sigurnosna kontrolna lista temeljena na CWE ranjivostima i obrascima napada.
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Jedinstvenost Nonce | CWE-323 | AES-GCM nonce jedinstven po šifriranju (KRITIČNO!) |
| [ ] Praćenje Nonce | CWE-323 | Prati korištene nonce, provedi MAX_NONCES_PER_KEY |
| [ ] Rotacija Ključeva | CWE-323 | Rotiraj ključ nakon dostignute granice nonce |
| [ ] Kriptografski RNG | CWE-330 | OpenSSL/OS CSPRNG za ključeve/nonce |
| [ ] Nasumični ID | CWE-330 | Nema sekvencijalnih ključ/sesija ID-ova |
| [ ] Constant-time Usporedba | CWE-208 | Za tajne, MAC-ove, tokene, API ključeve |
| [ ] Zaštita od Replay | CWE-294 | Praćenje nonce/vremenske oznake/sekvence |
| [ ] Šifriranje Kanala | CWE-300 | mTLS za vanjsku komunikaciju |
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Nuliranje Memorije | CWE-316 | Očisti tajne nakon uporabe |
| [ ] Nema Tajni u Logovima | CWE-532 | Nikada ne logiraj ključeve, lozinke, tokene |
| [ ] Sigurno Rukovanje Nizovima | CWE-316 | SecureString (C#), secrecy (Rust) |
| [ ] Materijal Ključa Očišćen | CWE-316 | try-finally osigurava čišćenje kod iznimke |
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Ograničenja Veličine | CWE-400 | MAX_PAYLOAD_SIZE proveden (zadano: 64KB) |
| [ ] Integer Overflow | CWE-190 | SafeAdd(), checked_add(), checked aritmetika |
| [ ] Null Provjere | CWE-476 | Na svim API granicama |
| [ ] Nema Unwrap na Inputu | CWE-248 | Pravilna obrada grešaka, nema panic kod malformed podataka |
| [ ] Parametrizirani Upiti | CWE-89 | Nikada string konkatenacija za SQL |
| [ ] Validacija Znakova | - | Bijela lista za identifikatore gdje je prikladno |
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Sanitizirane Poruke | CWE-209 | Nema putanja/verzija/stack traces klijentu |
| [ ] Potpuno Logiranje Grešaka | - | Logiraj kompletnu grešku interno prije sanitizacije |
| [ ] Nema Panic u Servisu | CWE-248 | Graceful oporavak od greške, servis ostaje pokrenut |
| [ ] Stack Trace Očuvan | - | Re-throw bez wrappinga |
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Ograničavanje Stope | CWE-400 | Token bucket po klijentu/endpointu |
| [ ] Ograničenja Veličine Zahtjeva | CWE-400 | Odbij prevelike payload rano |
| [ ] Sigurnost Zaključavanja | CWE-667 | Mehanizam oporavka zaključavanja |
| [ ] Čišćenje Resursa | CWE-772 | try-finally, using, defer, RAII - uvijek |
| [ ] Rukovanje Timeoutima | CWE-400 | Timeouts na svim vanjskim operacijama |
| Provjeri | CWE | Opis |
|---|---|---|
| [ ] Lock Poisoning Obrađen | CWE-667 | Oporavak od otrovanih lockova |
| [ ] Nema Race Conditions | CWE-362 | Thread-safe podatkovne strukture |
| [ ] Atomske Operacije | CWE-362 | Za brojače, zastavice, dijeljeno stanje |
| [ ] Prevencija Deadlocka | CWE-833 | Redoslijed zaključavanja, timeouts |
| Provjeri | Standard | Opis |
|---|---|---|
| [ ] Sve Promjene Logirane | ISO 27001 A.12.4 | Promjene podataka s korisnikom, vremenskom oznakom, stara/nova vrijednost |
| [ ] Sigurnosni Događaji Logirani | NIS2 Art. 21 | Neuspjela auth, ograničavanje stope, sumnjiv input |
| [ ] Rotacija Log Datoteka | - | Inkrementalni format |
| [ ] Nema Osjetljivih Podataka u Logovima | CWE-532 | Revizija za slučajno izlaganje |
Kriptografski Napadi:
Napadi na Input:
Napadi na Dostupnost:
Otkrivanje Informacija:
<wvds:audit:template critical=„true“> Nema exec/shell_exec/system poziva Nema eval() poziva Output escaping SQL injection prevencija CSRF zaštita </wvds:audit:template>
Verzija: 2.0 (Split)
Autor: Wolfgang van der Stille
Natrag na Sigurnosne Kontrolne Liste | Kontrolne Liste za Pregled